Que faire concernant les contrats vous liant à des fournisseurs et sous-traitants ?

La nouvelle Loi Suisse sur la protection des données (nLPD) impose à votre entreprise de nouvelles obligations en matière de protection des données personnelles.

Les contrats vous liant à des fournisseurs et sous-traitants doivent donc être vérifiés dès à présent et mis à jour afin, au besoin, de se conformer à cette nouvelle réglementation et d’éviter les conséquences désastreuses, telles que des pénalités financières (pour les non-conformités manifestes) ou des poursuites pénales (pour les décideurs négligents et violations répétées les plus graves). Ces dispositions sont très sérieusement prévues dans la législation suisse.

En tant qu’entreprise, vous serez tenu de vous assurer que les fournisseurs et les sous-traitants avec lesquels vous échangez des données à caractère personnel, respectent cette nouvelle loi en matière de protection des données. Pour ce faire, vous devrez démontrer, en cas de contrôle émanant du Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) ou des autorités cantonales (à la suite d’incidents ou plaintes de personnes) que vous avez fait votre devoir de « Due Diligence ».

Il vous faut dès aujourd’hui, d’une part, prendre toutes les précautions et procéder en amont aux vérifications nécessaires à votre niveau, notamment à travers la réalisation d’audits, et d’autre part, vous assurer que vos contrats disposent de clauses précises et robustes relatives à la protection des données.

Ceci inclut la nécessité pour vos sous-traitants de :

1.    Respecter les principes de minimisation des données, d’intégrité et de confidentialité.

2.    Mettre en place des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.

3.    Vous informer, sans délai, en cas de violation de données à caractère personnel.

4.    Vous assister dans l’accomplissement de toutes vos obligations en matière d’évaluation d’impact sur la protection des données.

Se mettre en conformité avec la nLPD nécessite donc une planification structurée et des processus clairs et documentés. Dans la pratique, vous devez :

  • identifier tous vos contrats avec vos fournisseurs et sous-traitants impliquant le traitement de données à caractère personnel ;
  • mener une évaluation du niveau de conformité actuel de chacun des contrats pour déterminer dans quelle mesure ils sont déjà conformes à la nLPD ou quelles sont leurs lacunes ; vos registres de risques doivent être à jour ;
  • rédiger des clauses types que vous devrez insérer dans vos contrats, en vous basant sur les principes énumérés ci-dessus;
  • négocier et modifier les contrats, en engageant des discussions avec vos partenaires d’affaires pour l’inclusion de ces nouvelles clauses dans vos contrats ;
  • mettre en œuvre et documenter la procédure de contrôle visant à surveiller, de votre perspective, la conformité de vos fournisseurs et sous-traitants avec ces clauses ;
  • procéder à des revues périodiques et garder les traces de ces exercices de revue. La conformité n’est pas un événement ponctuel mais un processus continu.

Les risques et exceptions doivent aussi faire l’objet d’une analyse documentée, démontrable à un tiers, ce qui est une situation typique lors d’un audit de « seconde partie », c’est-à-dire lorsque votre entreprise est auditée à la demande d’un client qui, lui-même, souhaite montrer « patte blanche ».

La nLPD vise à prévenir les abus et non à entraver les activités légitimes, soulignant ainsi son rôle essentiel de protection des données en Suisse. La conformité envers cette nouvelle loi est donc non seulement une obligation légale qui se voit renforcée, mais aussi une opportunité de démontrer votre engagement envers la protection des données vis-à-vis de vos clients et partenaires.

C’est ainsi que les entreprises les plus préparées, qui auront adopté une approche proactive et structurée, pourront transformer cette obligation en un véritable avantage concurrentiel.

Et vous, quelles mesures avez-vous prises ou comptez-vous prendre, d’ici le 1er septembre 2023, pour concevoir une stratégie cohérente de contrôles de vos partenaires et être conforme à la nLPD ?

Abilene Advisors peut vous aider à vous mettre en conformité, contactez-nous à request@abileneadvisors.ch